북 연계 해킹 조직DOC, HWP 문서 기반의 2단계 표적 공격 수행
[보안뉴스 기획취재팀] 한국의 국방·안보 분야 논문심사 및 행사 내용처럼 위장한 사이버 위협 활동이 다수 포착돼 주의가 요구된다. 해당 공격은 지난 25일 월요일에 수행된 것으로 확인됐으며, 실존하는 특정 대학과 연구소의 업무 요청 내용처럼 위장했다.
[자료=이스트시큐리티 시큐리티대응센터]]
공격자는 전형적인 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사했으며, 마치 다가오는 행사의 세부계획 초안 및 논문심사 워드(DOC) 문서 파일처럼 수신자를 현혹했다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 해당 문서는 실제 이메일에 첨부된 형태가 아니고, 특정 웹 사이트(files.cllouds.great-site[.]net)로 접속 후, 악성 워드 파일이 내려진 것으로 밝혀졌다.
각 이메일에 따라 다운로드되는 파일명은 ‘논문(국방대 65-2-12).doc’, ‘KIMS-CNA Webinar 세부계획 초안.doc’이며, 공격자는 보안 제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상을 선택적으로 배포하는 수법을 동원했다.
[자료=이스트시큐리티 시큐리티대응센터]
이러한 공격은 국방·안보 분야의 전현직 고위관계자를 타깃으로 수행됐는데, 만약 워드 파일에 포함된 악성 매크로를 허용할 경우 ‘freunkown1.sportsontheweb[.]net’ 명령제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취가 시도된다. 더불어 이번 공격에 발견된 문서는 공통적으로 ‘kisa’ 이름의 작성자 계정이 존재하는데, 최근 유사 위협 사례에서 지속 발견되고 있는 점이 주목된다.
ESRC는 이번 공격이 국방·안보 분야 전문가를 집중 겨냥한 이른바 페이크 스트라이커(Fake Striker) APT 캠페인의 연장선이라 밝히며, 위협 벡터와 공격 도구 등을 종합 분석한 결과 북한 정찰총국 연계 해킹 조직 소행으로 최종 지목됐다고 설명했다.
한편, 이번 배후로 지목된 사이버 안보 위협 조직은 DOC 악성 문서뿐만 아니라, OLE를 삽입한 HWP 문서 공격도 사용한 것으로 드러났다. 지난 20일, 마치 북한 종교 아카데미 강의 요청 안내문처럼 위장해 악성 HWP 파일을 북한인권 분야의 종교 지도자나 대북 분야 종사자에게 전달했는데, 이때도 ‘files.cllouds.great-site[.]net’ 주소와 ‘sooyeon55.atwebpages[.]com’ 도메인이 활용됐다.
이스트시큐리티 ESRC 관계자는 “북한 정권 차원에서 조직적으로 전개중인 사이버 안보 위협 수위와 공세가 갈수록 거세지고 있다”며, “특히, 외교·안보·국방·통일 분야 전문가들은 일상적으로 공격 표적이 되고 있으므로, 항상 보안 주의에 만전을 기해야 한다”고 주의를 당부했다.
익명을 요청한 악성코드 분석 전문가는 “국방 안보 분야 종사자는 최신 보안업데이트와 보안 프로그램을 유지하고 첨부 파일이나 링크가 포함된 문서는 보낸 사람을 확인해야한다”고 말했다.
서울여자대학교 김명주 교수는 “이번 사건은 특정 분야에서 종사하는 전문가의 사회적 지위와 업무관계를 미리 파악한 후 이를 악용하는데서 출발한다. 그리고 스스로 자신의 컴퓨터에 악성코드를 설치하도록 유인한 후 해당 컴퓨터 내의 정보를 유출해가는 대표적인 사회공학기법의 공격이자 APT 공격의 전형”이라고 지목했다.
이어 김명주 교수는 “안보와 국방 분야 전문가들은 이미 국가적 인지도가 있어 공격자에 의해 사전 정보와 관계성이 쉽게 파악되고 있다”며 “공격패턴의 유사성으로 볼 때 북한 소속 해킹 조직으로 파악되며, 최근 북한과 불편한 관계로 전환된 남한 정권의 출범에 따라 더욱 기승을 부릴 것”으로 예측했다.
그러면서 김 교수는 “전문적인 공격 기술을 보유한 해커조직인 만큼 방어가 쉽지 않으며, 안보 분야에서 유출된 정보라 남북관계에 있어 불리할 수 있다. 공무원과 국책 연구소 연구원들의 주의가 필요하며, 최신 악성코드 탐지 프로그램을 PC와 휴대폰에 상시 운영해야 한다”고 당부했다.
한편 이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트했으며, 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>